案例|内存安全助力AD域控服务器安全问题防护
2021-07-13 12:33:06 Author: www.aqniu.com(查看原文) 阅读量:90 收藏

案例|内存安全助力AD域控服务器安全问题防护

星期二, 七月 13, 2021

近年来,网络安全已经上升到了国家高度,众多企业也更关注自身业务安全运行,纷纷部署了不同的安全产品进行安全防御。即便如此,在行业应用中,客户也会遇到不同的安全问题。今天,我们来分享一个AD域控服务器场景的安全防护案例,希望能给大家一些启发。

便捷&问题

某政企单位在内网中存在大量的域控服务器,利用域控服务器管理全国分支机构的十万多台主机终端,便捷了很多。但是,如果攻击者利用漏洞或者社工等方法获取了外网系统的控制权限,找到了和内网联通的通道,再进一步进行深入渗透,便形成了纵向渗透的通道。然后,攻击者通过mimikazt等工具利用票据传递等攻击手段,实现域控服务器的权限控制,从而访问任意域控下的目标进行数据窃取,最终完成目标突破工作。这将为该政企单位带来不可估量的损失。

1、在域控服务器的防范中,会遇到黄金票据被盗的问题,攻击者可以通过域控服务器进行匿名登录的操作,实现控制域控下所有主机的登录。

2、该政企单位的域控服务器访问方式多种多样,有普通用户登录时的验证,有域控服务器相互间的访问,还有域控服务器下发策略时的访问,在这些访问中有很多都是业务需求,这种访问带来的安全风险也是存在的。

3、同时,该政企单位还遇到了非域控服务器的匿名登录情况,作为校验身份的域控服务器把这些请求视为正常访问,存在域控服务器下hash盗取防护问题。

解决方案

在了解到该政企单位的痛点需求之后,安芯网盾为该客户部署了安芯智能内存保护系统,帮助客户更清晰、准确、快速地发现、拦截、追溯攻击者的攻击。

智能内存保护系统安全防御

通过分析内网渗透中常用的技术方法,技术甄别判断黄金票据、PTH、白银票据、暴力破解域用户名密码、内存dump等行为,解决域控票据留存及票据传递问题。

通过细粒度的监控内存读、写、执行行为,可实时检测内存中存在堆栈代码执行、内存数据覆盖等异常行为,结合拦截模块高效防御漏洞攻击。

通过实时监测并阻断针对域控服务器的域渗透攻击,以及实时上报异常登录等风险项。

通过策略调整,解决身份认证的黑白名单控制问题,实现用户自定义设置对域控服务器的安全访问机制。

价值体现

客户采用了安芯网盾的智能内存保护系统之后,解决了安全威胁,同时为客户带来了价值收益:

采用了安芯网盾的智能内存保护系统之后,帮助该政企单位拦截了远线程注入、无文件攻击等基于内存攻击的行为对域控服务器进行攻击,实时拦截。

安芯网盾智能内存保护系统帮助该政企客户检测拦截了攻击方利用Mimikazt攻击工具获取被攻击的域控服务器中的krbtgt账户的hash值的行为。

此外,还帮助该政企单位拦截了攻击者利用Mimikazt进行攻击机的票据hash值读取,获取保留在攻击机中的域控管理员账号信息和hash,进行被攻击机远程登录的行为。

通过安芯神甲Server端的域控策略配置,行为日志功能模块可以有效拦截域内普通PC机越权访问域控主机的行为,防止krbtgt账户hash值得泄露风险以及避免发生制作黄金票据的风险。

国内首家基于硬件虚拟化等前沿技术保护企业主机安全的技术服务提供商,致力于研发面向未来的安全解决方案。


文章来源: https://www.aqniu.com/vendor/75656.html
如有侵权请联系:admin#unsafe.sh